2016年3月4日（金）

 医療における安全とは ~セーフティとセキュリティ~

 株式会社Eyes, JAPAN
 ネットワーク研究開発グループ セキュリティ・エンジニア
 金子　正人

　
　年に数回程度の頻度で定期的に開催されているという、医療分野における情報セキュリティを考える団体が主催のセミナーに昨年初めて参加した。医療従事者や医療機器ベンダーの方、医療機関向けに専門のサービスを展開されている IT ベンダーの方など、様々なかたちで医療における IT に携わっている方々が多く集まった。現在の医療機器に対する法規制・認証制度の問題や、医療機関における情報セキュリティ対策の認知度の話など、現在医療業界が直面している情報セキュリティの課題について、実際に従事されている方々から生の声を聞くことが出来たのは、普段そういった機会がほとんどない自分にとって、大変貴重な経験となった。しかしながら、情報セキュリティに関する業界独特の世界観に関しては、個人的には疑問が残る部分もあった。ここでは、私が感じたことを取り上げつつ、情報セキュリティの考え方や対策のあり方、今後の動向などを紹介して、医療における安全とセキュリティを考えてみたいと思う。
 
　医療業界では、医療機関等のネットワークは特殊であり、隔絶されているため安全であるという認識が少なくないようだ。何をもって特殊であり、安全であると判断しているのかの根拠は不明だが、医療機関であれば、(病気や怪我を抱えていようがいまいが) ほぼ誰でも気軽に立ち入ることが出来る場所、という意味では、役所や銀行などと同じであり、最低限それらと同等のセキュリティ対策が求められても不思議ではないはずである。しかしながら、医療機関というのは、ヒトの命に直接関わる処置を行う場所であり、役所や銀行のような場所とは性質が明らかに違う。そのため、医療機関でのセキュリティ対策というのは、より重要視されてしかるべきではないだろうか。また、一般人の立ち入りが制限されている場所であったとしても、2010 年に報告されたマルウェア「Stuxnet」によって、核施設に対して高度なサイバー攻撃が行われた事例もあり、社会的に重要な役割を果たしていると考えられるような場所では、隔絶されたネットワークだからと言って安全であるとも今や決して言い切れないだろう。
 
　ヒトの命に直接関わる業務を行うという性質上、安全に関して細心の注意を払っていることは言うまでもないだろう。そのため、例えば医療機器であれば、最初から安全を第一に考えた設計や実装になっているに違いない。また、医療機関であれば、ガイドラインを定めたり、安全対策マニュアルを周知・徹底したり等、患者の命に関わるインシデントが起こらないよう、様々な手を尽くしているだろう。しかし、そこまで安全を徹底しているにもかかわらず、セキュリティが安全という定義には含まれていないのは不思議だ。標的型攻撃や未知のマルウェア対策といった、高度で専門的なサイバー攻撃への対策のような話だけがセキュリティ対策ではない。例えば、悪意のある攻撃者が病院に侵入して、患者に接続されている生命維持装置の電源などの重要なケーブルを勝手に抜くなどして、患者を死なせてしまうようなケースはどうだろうか。この場合は、ヒトの命に関わるようなケースであるのに、セキュリティ対策の範囲ではあるが、安全対策の範囲には含まれていないだろう。そもそも、「悪意のある攻撃者」という登場人物が出てくるようなシナリオは考慮されていないのではないだろうか。そのためか、攻撃者の視点に立って考えるという対策の仕方があまり浸透していないように思える。セキュリティ対策を行うにあたっては、攻撃者が何をしてくるのかが分からなければ、何をどのように対策しなくてはいけないのかも見えてこない。
 
　私たちは、医療と情報セキュリティをテーマにした、医療セキュリティハッカソン (https://health2con.jp/) というイベントを 2013 年より毎年開催してきた。このイベントは、医療機関向けに開発され、実用化されているソフトウェア (OSS: オープンソースソフトウェア) を対象とし、情報セキュリティの専門家が一同に会して、集中的な脆弱性調査を実施することで、医療業界における情報システム開発の現状や、情報セキュリティ対策の必要性を明らかにし、業界全体の情報セキュリティを向上させることを目的としている。競技の概要としては、情報セキュリティの専門家が会場に集まり、約 24 時間という短い競技時間の中で、4 つのソフトウェアを対象として、夜通しで集中的に脆弱性調査を行い、競技終了後には、見つけた脆弱性に対して、どのような脅威が考えられるかを参加者がプレゼンテーション形式で簡単に発表する、というものである。2015 年に開催した医療セキュリティハッカソンは、会津若松と神戸の二つの会場で同時に開催し、最終的には両会場合わせて 50 人程度の参加者によって、合計で 200 以上の脆弱性が報告された。一般に良く知られているような、基本的で軽微な脆弱性から、ソフトウェアが動作しているシステムの制御を奪われてしまうような、重大な脆弱性など、種類や深刻度も様々な脆弱性が報告された。「ソフトウェアの設計や実装が、セキュリティを全く考慮していない」と話す参加者もいるほどだ。初年度にイベントを開催する前は、実用化されているものであれば、セキュリティ対策は当然のように行われており、それらを調査対象にしたところで、競技時間内には脆弱性など一切見つからないのではないか、と予想していた。しかし、数年間に渡って開催し続けてきたことで、実用化されているものであっても、セキュリティが全く考慮されていない実装になっている可能性が十分にあることを確信した。コミュニティ主導で開発が行われる、オープンソースソフトウェアでこのような実状があることを踏まえると、プロプライエタリ・ソフトウェアであればセキュアに実装されていると言い切ることは出来るだろうか。また、実用化されている医療機器であれば、安全面はともかく、セキュリティも担保されていると言い切ることは出来るだろうか。次回で 4 回目の開催となる当ハッカソンは、今年は IoT & セキュリティハッカソンという名称として、IoT (Internet of Things) という文脈で、医療機器も含めたセキュリティをテーマにしたハッカソンにスケールアップして、2016 年 03 月 25 日から 27 日にかけて開催する予定だ。（https://www.facebook.com/iotxsec/）当ハッカソンを通じて、医療機関や医療機器に対する情報セキュリティ対策の必要性を明らかにすることで、組織において情報セキュリティを考えるきっかけとなり、ひいては業界全体での情報セキュリティ向上の一端を担えるよう、今後もこういった活動を続けていきたいと考えている。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。